Hackers Patrocinados por el Estado Explotan 2 Vulnerabilidades Zero-Day de Cisco para Espionaje

XPoint
Publicado el 25/04/2024

Una nueva campaña de malware aprovechó dos fallos zero-day en equipos de red de Cisco para entregar malware personalizado y facilitar la recolección encubierta de datos en entornos objetivo.

Cisco Talos, que denominó la actividad como ArcaneDoor, atribuyéndola como obra de un actor patrocinado por el estado sofisticado no documentado previamente, al que rastrea bajo el nombre UAT4356 (también conocido como Storm-1849 por Microsoft).

«UAT4356 desplegó dos puertas traseras como componentes de esta campaña, ‘Line Runner’ y ‘Line Dancer’, que se utilizaron conjuntamente para realizar acciones maliciosas en el objetivo, que incluyeron modificación de configuración, reconocimiento, captura/exfiltración de tráfico de red y posiblemente movimiento lateral,» dijo Talos.

Ciberseguridad Las intrusiones, que fueron detectadas y confirmadas por primera vez a principios de enero de 2024, implican la explotación de dos vulnerabilidades:

CVE-2024-20353 (puntuación CVSS: 8.6) – Vulnerabilidad de denegación de servicio de servicios web de Cisco Adaptive Security Appliance y Firepower Threat Defense Software CVE-2024-20359 (puntuación CVSS: 6.0) – Vulnerabilidad de ejecución de código local persistente de Cisco Adaptive Security Appliance y Firepower Threat Defense Software Vale la pena señalar que un exploit zero-day es la técnica o ataque que un actor malintencionado despliega para aprovechar una vulnerabilidad de seguridad desconocida y así acceder a un sistema.

Mientras que el segundo fallo permite a un atacante local ejecutar código arbitrario con privilegios de nivel root, se requieren privilegios de administrador para explotarlo. Se abordó junto con CVE-2024-20353 y CVE-2024-20359 una falla de inyección de comandos en el mismo dispositivo (CVE-2024-20358, puntuación CVSS: 6.0) que se descubrió durante pruebas de seguridad internas.

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha añadido las deficiencias a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales aplicar las correcciones proporcionadas por el proveedor antes del 1 de mayo de 2024.

Vulnerabilidades Zero-Day de Cisco El camino exacto de acceso inicial utilizado para comprometer los dispositivos es actualmente desconocido, aunque se dice que UAT4356 comenzó los preparativos para ello tan pronto como en julio de 2023.

Un punto de apoyo exitoso es seguido por el despliegue de dos implantes llamados Line Dancer y Line Runner, siendo el primero una puerta trasera en memoria que permite a los atacantes cargar y ejecutar cargas de shellcode arbitrarias, incluyendo la desactivación de registros del sistema y la exfiltración de capturas de paquetes.

Line Runner, por otro lado, es un implante Lua persistente basado en HTTP instalado en el Cisco Adaptive Security Appliance (ASA) aprovechando los zero-days mencionados anteriormente, de manera que pueda sobrevivir a reinicios y actualizaciones. Se ha observado su uso para obtener información preparada por Line Dancer.

«Se sospecha que Line Runner puede estar presente en un dispositivo comprometido incluso si Line Dancer no lo está (por ejemplo, como una puerta trasera persistente, o cuando un ASA afectado aún no ha recibido atención operativa completa por parte de los actores maliciosos),» según un aviso conjunto publicado por agencias de ciberseguridad de Australia, Canadá y el Reino Unido.

En cada fase del ataque, se dice que UAT4356 ha demostrado una atención meticulosa para ocultar huellas digitales y la capacidad de emplear métodos intrincados para evadir la forense de memoria y reducir las posibilidades de detección, contribuyendo a su sofisticación y naturaleza elusiva.

Esto también sugiere que los actores de amenazas tienen un entendimiento completo de los mecanismos internos del ASA y de las «acciones forenses comúnmente realizadas por Cisco para la validación de la integridad del dispositivo de red.»

Ciberseguridad No está claro qué país está detrás de ArcaneDoor, sin embargo, tanto hackers respaldados por el estado chino como ruso han apuntado a routers de Cisco con fines de ciberespionaje en el pasado. Cisco Talos tampoco especificó cuántos clientes fueron comprometidos en estos ataques.

El desarrollo destaca una vez más el aumento del objetivo de dispositivos y plataformas perimetrales como servidores de correo electrónico, firewalls y VPNs que tradicionalmente carecen de soluciones de detección y respuesta de puntos finales (EDR), como lo demuestra la reciente ola de ataques dirigidos a Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks y VMware.

«Los dispositivos de red perimetrales son el punto de intrusión perfecto para campañas enfocadas en el espionaje,» dijo Talos.

«Como ruta crítica para datos dentro y fuera de la red, estos dispositivos deben ser parcheados rutinaria y prontamente; utilizando versiones y configuraciones de hardware y software actualizadas; y ser monitoreados de cerca desde una perspectiva de seguridad. Obtener un punto de apoyo en estos dispositivos permite a un actor pivotar directamente en una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de red.»

Preguntas frecuentes

¿Qué es un Zero-Day?

+

Un ataque de día cero o Zero-Day es un ataque contra una aplicación o sistema informático que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que son desconocidas para los usuarios y para el fabricante del producto. Esto supone que aun no hayan sido arregladas.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos